H04L9/08 H04L9/32
1、一种证书的分配与管理方法,其特征在于:该方法包括以下步骤:
1)证书申请实体生成公私钥对;
2)证书申请实体保存私钥,发送公钥至证书颁发实体;
3)当证书颁发实体收到公钥后,根据预先设定的信息及收到的公钥生成证 书;
4)证书颁发实体发送生成的证书给证书申请实体;
5)证书申请实体保存收到的证书。
2、根据权利要求1所述的证书的分配与管理方法,其特征在于:所述步 骤1)中证书申请实体是通过USBKey生成公私钥对。
3、根据权利要求1或2所述的证书的分配与管理方法,其特征在于:所 述预先设定的信息是指生成证书时需要包含的信息,包括用户名、用户序列号、 证书使用期限、证书是否加密、证书采用的签名算法和哈希摘要算法。
4、根据权利要求3所述的证书的分配与管理方法,其特征在于:所述步 骤3)中根据预先设定的信息及收到的公钥生成证书的具体步骤如下:
3.1)证书颁发实体收到包含有公钥与证书申请实体序列号的请求,从自身 的设定信息中查对应用户序列号,若查到则进至步骤3.1),若未查到则 进至步骤3.5);
3.2)证书颁发实体根据X509.v3标准证书格式构造证书的基本结构;
3.3)证书颁发实体按照标准格式将对应用户的预先设定信息和用户公钥填 充到构造完成的证书结构属性中;
3.4)生成哈希指纹与证书的签名,完成证书,并将生成的证书返回给证书 申请实体;证书申请流程结束;
3.5)中止执行,返回给证书申请实体错误信息;证书申请流程结束。
技术领域
本发明涉及计算机网络通信中一种证书的分配与管理方法。
背景技术
现有计算机网络通信环境下网络身份证书及对应私钥主要采用证书颁发 点统一生成,然后将生成的证书与对应私钥送交申请实体。此种方式在证书及 私钥颁发过程中证书及私钥全部由证书颁发实体生成,在传送至申请实体时存 在私钥泄露的风险。为提高安全性需要进行将证书及私钥颁发过程本地化,即 不进行网络传输,直接在本机完成后,通过物理方式交给申请实体,但是这样 会造成用户使用不便。
发明内容
本发明为解决背景技术中存在的上述技术问题,而提供一种不存在私钥泄 露的风险且使用方便的证书的分配与管理方法。
本发明的技术解决方案是:本发明为一种证书的分配与管理方法,其特殊 之处在于:该方法包括以下步骤:
1)证书申请实体生成公私钥对;
2)证书申请实体保存私钥,将公钥发送至证书颁发实体;
3)当证书颁发实体收到公钥后,将根据预先设定的信息及收到的公钥生成 证书;
4)证书颁发实体将生成的证书发送给证书申请实体;
5)证书申请实体将收到的证书保存。
上述步骤1)中证书申请实体是通过USBKey生成公私钥对,私钥在 USBKey中生成后直接存储于USBKey。
上述预先设定的信息是指生成证书时需要包含的其他信息,包括用户名、 用户序列号、证书使用期限、证书是否加密、证书采用的签名算法或哈希摘要 算法。
上述步骤3)中根据预先设定的信息及收到的公钥生成证书的具体步骤如 下:
3.1)证书颁发实体收到包含有公钥与证书申请实体序列号的请求,从自身 的设定信息中查对应用户序列号,若查到则进至步骤3.1),若未查到则 进至步骤3.5);
3.2)证书颁发实体根据X509.v3标准证书格式构造证书的基本结构;
3.3)证书颁发实体按照标准格式将对应用户的预先设定信息和用户公钥填 充到构造完成的证书结构属性中;
3.4)生成哈希指纹与证书的签名,完成证书,并将生成的证书返回给证书 申请实体;证书申请流程结束;
3.5)中止执行,返回给证书申请实体错误信息,证书申请流程结束。
本发明在证书的分配与管理过程中,采用证书申请实体生成公私钥对,私 钥保存,公钥发送至证书颁发实体以供生成证书,并将生成证书回送证书申请 实体,私钥在证书申请实体中生成,不需要传送,不存在私钥泄露的风险,同 时本发明证书的颁发过程远程进行,明/密文远程传送至申请实体,使用方便。
附图说明
图1为本发明地方法流程图;
图2为本发明的最佳实施例示意图。
具体实施方式
参见图1,本发明方法流程如下:
1)证书申请实体生成公私钥对;
2)证书申请实体保存私钥,将公钥发送至证书颁发实体;
3)当证书颁发实体收到公钥后,将根据预先设定的信息及收到的公钥生成 证书;
4)证书颁发实体将生成的证书发送给证书申请实体;
5)证书申请实体将收到的证书保存。
其中公私钥均由证书申请实体生成,私钥保留,公钥用于证书申请,通过网 络传输发送至证书颁发实体,证书生成部分中收到公钥后将根据设定的用户信息 使用相应公钥生成证书并通过网络将证书发送给证书申请实体。
预先设定的信息是指生成证书时需要包含的其他信息,包括但不限于用户 名、用户序列号、证书使用期限、证书是否加密、证书采用的签名算法和哈希 摘要算法。
根据预先设定的信息及收到的公钥生成证书的具体步骤如下:
3.1)证书颁发实体收到包含有公钥与证书申请实体序列号的请求,从自身 的设定信息中查对应用户序列号,若查到则进至步骤3.1),若未查到则 进至步骤3.5);
3.2)证书颁发实体根据X509.v3标准证书格式构造证书的基本结构;
3.3)证书颁发实体按照标准格式将对应用户的预先设定信息和用户公钥填 充到构造完成的证书结构属性中;
3.4)生成哈希指纹与证书的签名,完成证书,并将生成的证书返回给证书 申请实体;
3.5)中止执行,返回给证书申请实体错误信息。
参见图2,本发明的应用的较佳实施例中,证书申请实体为系统管理软件, 证书颁发实体为证书服务单元,其具体步骤如下:
1)系统管理软件与USBKey建立连接;
2)系统管理软件与证书服务单元建立连接;
3)证书服务单元将用户信息{User List}发送给系统管理软件;
4)系统管理者通过系统管理软件选择需要颁发证书的用户{UserID};
5)系统管理软件调用USBKey生成公私钥对;
6)USBKey在硬件内部生成公私钥对,并返回生成的公钥{PublicKey};
7)系统管理软件发送{PubilcKey,UserID}至证书服务单元申请证书;
8)证书服务单元接受到申请,根据UserID查对应用户预设定信息,并 根据查到的预设定信息生成证书并签名;
9)证书服务单元将生成的证书及自身的证书{CertUser,CertAS}发送给系统 管理软件;
10)系统管理软件使用CertAS对CertUser进行校验,通过后将CertUser与 CertAS同时写入USBKey之中。
本文发布于:2023-04-13 21:35:10,感谢您对本站的认可!
本文链接:https://patent.en369.cn/patent/1/86747.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |